Os processos são uma parte essencial e inevitável do Windows, e não é incomum ver dezenas ou centenas deles no gerenciador de tarefas. Cada processo é um aplicativo em execução ou parte dele. Infelizmente, os criadores de malware sabem disso e são conhecidos por ocultar códigos ruins por trás de nomes de processos legítimos.
Aqui estão alguns dos processos hackeados ou replicados mais comuns, juntamente com onde você precisa estar e como identificar uma versão maliciosa. Verificar Como o malware chega às lojas de aplicativos?
Links Rápidos
1. svchost.exe
Host de serviço, ou svchost.exe, é um processo de serviço compartilhado. Permite que muitos outros serviços do Windows compartilhem processos. Isso ajuda a reduzir o uso de recursos, tornando o sistema mais eficiente. É quase certo que você verá mais de uma instância do svchost.exe no gerenciador de tarefas, mas isso é normal. Se um ou mais desses arquivos estiverem comprometidos por malware, você poderá notar uma diminuição significativa no desempenho.
Os arquivos svchost legítimos devem ser encontrados no seguinte caminho:
C:\Windows\System32
Se você suspeitar que o processo foi comprometido, verifique o seguinte caminho:
C:\Windows\Temp
Se você vir svchost.exe aqui, pode ser um arquivo malicioso. Examine o arquivo com seu aplicativo antivírus e coloque-o em quarentena, se necessário. Verificar O que é o processo svchost.exe, é seguro ou deve parar?
2. explorer.exe
Explorer.exe é responsável pelo shell gráfico que você está visualizando. Sem ele, você não teria uma barra de tarefas, menu iniciar, gerenciador de arquivos ou mesmo área de trabalho. Portanto, eles são uma parte essencial do Windows e não podem ser desativados.
Muitos vírus podem usar o nome de arquivo Explorer.exe para se esconder atrás dele, incluindo trojan.w32.ZAPCHAST. O arquivo legítimo estará no seguinte caminho:
C:\Windows
Se você encontrá-lo no System32, você definitivamente deve verificá-lo com seu aplicativo antivírus preferido.
3.winlogon.exe
O processo Winlogon.exe é uma parte essencial do Windows. Ele lida com coisas como carregar o perfil de um usuário durante o login e bloquear o computador quando o protetor de tela está em execução. Infelizmente, por lidarem com elementos de segurança, o Windows Logon e o processo winlogon.exe são alvos comuns de ameaças.
Muitos cavalos de Tróia, incluindo o Vundo, podem estar ocultos no arquivo ou disfarçados como winlogon.exe. A localização usual para Winlogon.exe é o seguinte caminho:
C:\Windows\System32
Se você encontrá-lo em um caminho diferente, pode ser malicioso como:
C:\Windows\WinSecurity
Uma indicação clara de que um processo foi sequestrado é o uso de memória excepcionalmente alto.
Vírus e malware não se escondem apenas atrás dos processos do Windows. Aqui estão algumas outras maneiras que podem O malware não é detectado e está oculto no seu computador.
4.Csrss.exe
O subsistema de tempo de execução do cliente/servidor, ou Csrss.exe, é um dos principais processos do Windows. Embora não sejam muito utilizados nas versões recentes do Windows, eles ainda são exigidos pelo sistema e não podem ser desabilitados.
O vírus Nimda.E é conhecido por imitar o processo Csrss.exe, embora essa não seja a única ameaça possível. O arquivo legítimo deve estar localizado nas pastas System32 ou SysWOW64. Clique com o botão direito do mouse no processo Csrss.exe no gerenciador de tarefas e selecione Csrss.exe Abrir local do Ficheiro. Se estiver localizado em qualquer outro lugar, é provável que seja um arquivo malicioso. Verificar O que é o processo Csrss.Exe no Windows e é seguro?
5. Lsass.exe
lsass.exe é um processo central responsável pela política de segurança no Windows. Onde você verifica seu nome de login e senha, entre outras medidas de segurança. Não é provável que o processo seja sequestrado. Se não estiver funcionando corretamente, geralmente você será desconectado automaticamente do computador. No entanto, os vírus são conhecidos por usar o nome do arquivo para se esconder.
Encontre o arquivo Lsass.exe no seguinte caminho:
C:\Windows\System32
Este é o único lugar onde você deve encontrá-lo. Se você vê-lo em outro lugar, como C:\Windows\sistema أو C: \ Program Files Aja de forma suspeita e verifique o arquivo com um aplicativo antivírus. Verificar O que é hacking de hardware e você deveria se preocupar com isso?
6. Serviços.exe
O processo Services.exe é responsável por iniciar e parar muitos serviços essenciais do Windows. Como outros processos do Windows nesta lista, vírus e malware os visam porque permitem que eles se escondam à vista de todos.
Se o arquivo estiver comprometido, poderão ocorrer problemas durante a inicialização e desligamento do computador. Encontre o arquivo Services.exe real na pasta System32. Se estiver localizado em qualquer outro lugar, como no caminho a seguir:
C:\Windows\ConnectionStatus
O arquivo pode ser um vírus.
Os processos mencionados aqui são essenciais para o bom funcionamento do Windows. Mas nem todos, e até muitos processos não essenciais podem ser fechados para ajudar no desempenho.
7.Spoolsv.exe
O Serviço de Spooler de Impressão do Windows ou Spoolsv.exe é uma parte importante da interface de impressão. Ele é executado em segundo plano, esperando para gerenciar coisas como a fila de impressão quando necessário. O processo não depende da conexão de uma impressora, então você não deve se surpreender ao vê-lo no gerenciador de tarefas.
Talvez porque o Spoolsv.exe seja facilmente ignorado, o vírus pode usar o nome para parecer legítimo. O arquivo de spools reais pode ser encontrado no seguinte caminho:
C:\Windows\System32
O arquivo falso geralmente aparece em C: \ Windows , ou na pasta de perfil do usuário. Verificar Quais processos do Windows você pode encerrar com segurança para melhorar o desempenho?
Como você verifica se um processo é legítimo?
O gerenciador de tarefas é seu amigo ao procurar atividades suspeitas. Os processos infectados geralmente se comportam de forma irregular, consumindo mais energia, memória e CPU do que o normal. Mas nem sempre é esse o caso, então aqui estão algumas outras maneiras de verificar a legitimidade do processo.
A maioria dos processos básicos listados aqui deve aparecer apenas na pasta System32. Você pode verificar facilmente a localização de um arquivo suspeito no gerenciador de tarefas. Clique com o botão direito do mouse no processo e selecione Abrir local do Ficheiro. Verifique o caminho da pasta que se abre para certificar-se de que o arquivo está no local correto.
Outra maneira de descobrir se um arquivo é legítimo é verificar o tamanho. Será do tamanho da maioria dos arquivos .exe. Para essas operações básicas, menos de 200 KB. Clique com o botão direito do mouse no nome do processo no gerenciador de tarefas e selecione Propriedades E olha o tamanho. Se parecer extraordinariamente grande, observe mais de perto para determinar se é seguro.
Você também pode verificar o certificado do arquivo EXE. O arquivo original terá um certificado de segurança emitido pela Microsoft. Se você vir mais alguma coisa, provavelmente é malicioso.
A última coisa a fazer é verificar arquivos suspeitos com um antivírus atualizado. Coloque em quarentena e remova todos os arquivos sinalizados como infectados. Felizmente, as versões recentes do Windows vêm com o Microsoft Defender, então descubra Como verificar um arquivo Ou uma única pasta com o Microsoft Defender para verificar se há arquivos suspeitos que você encontrar. Verificar Como salvar uma lista de processos em execução no Windows.
Processos do Windows que podem estar escondendo um vírus
Parte de manter seu computador Windows protegido contra malware e vírus é saber onde eles estão se escondendo. Às vezes, o arquivo malicioso se comporta de maneira estranha, usando muita CPU e memória. Mas não sempre. Portanto, detectar um arquivo suspeito de outras maneiras é uma habilidade útil. Você pode ver agora O uso da GPU chega a 100% no Windows? Como corrigi-lo.